KR19990082957A - Fault tolerant control system - Google Patents

Fault tolerant control system Download PDF

Info

Publication number
KR19990082957A
KR19990082957A KR1019990011860A KR19990011860A KR19990082957A KR 19990082957 A KR19990082957 A KR 19990082957A KR 1019990011860 A KR1019990011860 A KR 1019990011860A KR 19990011860 A KR19990011860 A KR 19990011860A KR 19990082957 A KR19990082957 A KR 19990082957A
Authority
KR
South Korea
Prior art keywords
control system
control
field device
output
function
Prior art date
Application number
KR1019990011860A
Other languages
Korean (ko)
Inventor
큐러리제프리엠.
세네칼레이몬드알.
윌코즈스테판제이.
하비로버트피.
Original Assignee
벨 주니어 로버트 에스.
에이비비 컴버스쳔 엔지니어링 뉴클리어 파워 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 벨 주니어 로버트 에스., 에이비비 컴버스쳔 엔지니어링 뉴클리어 파워 인코포레이티드 filed Critical 벨 주니어 로버트 에스.
Publication of KR19990082957A publication Critical patent/KR19990082957A/en

Links

Classifications

    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin

Landscapes

  • Physics & Mathematics (AREA)
  • Engineering & Computer Science (AREA)
  • Plasma & Fusion (AREA)
  • General Engineering & Computer Science (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Testing And Monitoring For Control Systems (AREA)
  • Safety Devices In Control Systems (AREA)

Abstract

본 발명은, 실질적으로 동일한 제 1차 및 제 2차 프로그래밍 가능한 논리 제어 시스템에 대한 정보를 제공하기 위하여, 발전소 내에 배치된 다수의 여분의 센서를 포함하는 결함에 견딜 수 있는 제어 시스템(a fault tolerant control system)에 관한 것이다. 제어 시스템의 정상 동작은 그 제어 시스템 내의 임의의 확실한 단일 결함에 의하여는 영향을 받지 않는다. 동작 중에, 제 1제어 시스템으로부터 필드 장치(field device)로의 출력은 건강 신호(health signal)가 제 1 제어 시스템이 제기능을 하지 않는 것을 나타낼 때에만 중단된다.The present invention provides a fault tolerant control system that includes a plurality of redundant sensors disposed within a power plant to provide information about substantially identical primary and secondary programmable logic control systems. control system). Normal operation of the control system is not affected by any obvious single faults in the control system. In operation, output from the first control system to the field device is stopped only when a health signal indicates that the first control system is not functioning.

Description

결함에 견딜 수 있는 제어 시스템{FAULT TOLERANT CONTROL SYSTEM}Fault-tolerant control system {FAULT TOLERANT CONTROL SYSTEM}

본 발명은 핵발전소에 사용하는 결함에 견딜 수 있는 제어 시스템에 관한 것이다. 좀더 구체적으로는, 본 발명은 시스템 내에 임의의 확실한 단일 결함에도 불구하고 동작할 수 있는, 용수공급 제어 시스템, 원자로 조절 시스템, 또는 스팀 보조관 제어 시스템으로 사용하기 위한 제어 시스템 하드웨어 장치에 관한 것이다.The present invention relates to a control system capable of withstanding defects used in nuclear power plants. More specifically, the present invention relates to a control system hardware device for use as a water supply control system, reactor control system, or steam assist control system, which can operate despite any apparent single defects in the system.

핵스팀발전소는 전통적으로 원자로 조절 시스템(RRS: Reactor Regulating System), 용수 공급 제어 시스템(FWCS: Feed-Water Control System), 및 스팀 보조관 제어 시스템(SBCS: Steam Bypass Control System)을 위하여 자동 제어의 통합 시스템을 사용한다. 핵발전소를 위한 이런 제어 시스템은 여러 해 동안 공지되었고, 프로세스 컴퓨터로 시행될 수도 있다. 그 프로세스 컴퓨터는 센서와 신호 조절기(signal conditioner)를 통하여 원자로(nuclear reactor)로부터 정보를 수신한다. 검출된 정보에 대한 일련의 수학적 처리를 거쳐, 제어 시스템은 자동적으로 동작 시스템이나 제어 장치에 적용되는 출력 신호를 생성하고, 순차로 원자로의 동작을 변경시킨다. 예를 들면, RRS 는 이전의 코어 센서로부터 유도된 정보에 기초된 원자로의 코어 반응성의 변화를 요구할 수 있다.Nuclear steam plants have traditionally been equipped with automatic controls for the reactor regulating system (RRS), feed-water control system (FWCS), and steam bypass control system (SBCS). Use an integrated system. Such control systems for nuclear power plants have been known for many years and may be implemented with process computers. The process computer receives information from a nuclear reactor through sensors and signal conditioners. Through a series of mathematical processes on the detected information, the control system automatically generates an output signal that is applied to the operating system or control device and subsequently changes the operation of the reactor. For example, the RRS may require a change in core reactivity of the reactor based on information derived from previous core sensors.

제어 시스템으로 인하여, 핵발전소의 실제 제어의 대다수가 자동화된다. 핵발전소 프로세스 컴퓨터에 대한 의존도가 향상된 이용 가능성, 효율성 및 안전성으로 인하여 점차 증가하였는데, 그 모든 특성들이 디지털 프로세스 컴퓨터의 사용으로 상당히 향상되었다. 발전소 프로세스 컴퓨터의 더 새로운 디자인은, 제어 시스템의 비준 및 변경을 간단하게 하면서, 하드웨어의 수준의 기능적인 모듈 방식의 개념을 통합하고 있다. 그 시스템은 이용 가능성을 최대로 하고, 엄격한 안전성과 환경적 요구 조건도 여전히 충족시키기 위하여 요구되는 발전소의 증가된 복잡성을 극복하는데 도움을 준다.Due to the control system, the majority of the actual control of the nuclear power plant is automated. The dependence on nuclear power process computers has gradually increased due to improved availability, efficiency, and safety, all of which have been significantly improved with the use of digital process computers. The newer design of the power plant process computer incorporates the concept of a functional modular level of hardware, simplifying the ratification and modification of the control system. The system helps to overcome the increased complexity of power plants required to maximize availability and still meet stringent safety and environmental requirements.

RRS, FWCS, 및 SBCS 와 같은 모듈화된 제어 시스템은 모든 구성 요소들이 적절히 기능을 발휘할 때에 효과적으로 동작한다. 그러나, 하나의 구성 요소가 비논리적으로 또는 다른 요인으로 인하여 결함이 생기게 될 때에는, 하나 이상의 발전소 경계 조건이 잘못 반응하는 곳에서 복잡한 과도 현상이 생성된다. 이 과도 현상은, 제어 시스템의 복잡성과 또한 공유된 제어 시스템 파라미터에 기초를 둔 여러 가지 제어의 상호 작용으로 인하여 제어하기가 어렵게 된다. 제어 시스템에 결함이 생기면, 보통 발전소 동작이 수동 제어로 전환되는데 이것은 제어 시스템이나 심지어 발전소 운전정지를 막을 수 없게 될 수도 있다.Modular control systems such as RRS, FWCS, and SBCS operate effectively when all components function properly. However, when one component becomes defective due to illogical or other factors, complex transients are created where one or more power plant boundary conditions misrepresent. This transient is difficult to control due to the complexity of the control system and the interaction of various controls based on shared control system parameters. If the control system fails, the plant operation is usually switched to manual control, which may not prevent the control system or even shut down the plant.

더욱이, 과거 몇 년 동안에, 핵발전소 건설의 비용은 운전 비용과 마찬가지로 증가되어왔다. 그 결과, 핵발전소 오퍼레이터는 시스템 결함으로 인한 운전 정지 시간을 최소화하는 것을 포함하여 발전소 성능의 개선을 전담하게 되었다. 비용의 효율을 최대화하기 위하여, 발전소 설계는 수반되는 조절 조건 및 제어 시스템의 요구 조건의 증가와 함께 크기와 복잡도를 증가시켜왔다. 그러나 복잡성이 증가함에 따라, 발전소 동작에 불리한 영향을 미치는 개별 구성 요소의 결함에 대한 가능성은 마찬가지로 증가하였다. 더욱이, 발전소 제어 시스템의 변경과 유지 보수는 보통 그 시스템이 운전 정지 되어야 하는 것을 필요로 하여, 발전소 성능의 다른 악화를 일으키게 한다.Moreover, in the past few years, the cost of nuclear power plant construction has increased as well as operating costs. As a result, nuclear plant operators are responsible for improving plant performance, including minimizing downtime due to system failures. In order to maximize cost efficiency, power plant designs have increased in size and complexity with the accompanying regulation and control system requirements. However, as complexity increased, the likelihood of defects in individual components adversely affecting plant operation also increased. Moreover, alteration and maintenance of a plant control system usually requires that the system be shut down, causing other degradation of plant performance.

따라서, 본 발명의 목적은 RRS, FWCS, 및 SBCS 와 같은 핵발전소 시스템용 결함에 견딜 수 있는 제어 시스템을 제공함으로써 제어 시스템 구성 요소의 결함이나 유지 보수의 전술한 단점을 극복하는 것이다. "결함에 견딜 수 있는"이라는 용어는 제어 시스템의 정상 동작이 그 제어 시스템 내의 임의의 확실한 단일 결함으로 인하여는 영향을 받지 않는다는 것으로 이해하면 된다.Accordingly, it is an object of the present invention to overcome the aforementioned disadvantages of defects or maintenance of control system components by providing a control system capable of withstanding defects for nuclear power plant systems such as RRS, FWCS, and SBCS. The term "tolerable to defects" is to be understood that the normal operation of the control system is not affected by any certain single fault within the control system.

본 발명의 또다른 목적은 구성 요소의 결함으로 인하여 핵발전소의 운전 정지 시간을 최소화시키는 결함에 견딜 수 있는 제어 시스템을 제공하는데에 있다.It is still another object of the present invention to provide a control system capable of withstanding defects that minimize the downtime of nuclear power plants due to component defects.

본 발명의 또다른 목적은 제어 시스템의 정상 동작이 시스템의 유지 보수 동안에 영향을 받지 않을 수 있게 하는 결함에 견딜 수 있는 제어 시스템을 제공하는데에 있다.It is another object of the present invention to provide a control system capable of withstanding defects such that normal operation of the control system is not affected during maintenance of the system.

본 발명에 따라, 동일한 제 1 및 제 2 프로그래밍 가능한 논리 제어 시스템에 정보를 제공하기 위하여 핵발전소 내에 배치되는 다수의 여분의 센서를 포함하는 결함에 견딜 수 있는 제어 시스템이 제공된다. 정상 동작 동안에 제 1 및 제 2 제어 시스템은 모두 병렬 디지털 출력을 필드 장치에 공급한다. 적어도 제 1 제어 시스템의 건강 상태(health status)는 연속적으로 모니터링된다. 정상 상태 하에서, 필드 장치는 제 1 제어 시스템으로부터의 출력을 수신한다. 바람직한 실시예에서, 제 1 제어 시스템으로부터의 출력은 건강 상태가 제 1 제어 시스템이 제 기능을 발휘하지 않는다는 것을 나타내는 때에만 중단된다. 제 1 제어 시스템의 출력이 중단되면, 제 2 제어 시스템의 출력이 발전소 필드 장치에 입력되어 연속적인 제어를 하게 한다.In accordance with the present invention, a control system is provided that is capable of withstanding defects including a number of redundant sensors disposed within a nuclear power plant for providing information to the same first and second programmable logic control systems. During normal operation both the first and second control systems supply parallel digital outputs to the field device. At least the health status of the first control system is continuously monitored. Under normal conditions, the field device receives the output from the first control system. In a preferred embodiment, the output from the first control system is stopped only when the state of health indicates that the first control system is not functioning. When the output of the first control system is interrupted, the output of the second control system is input to the power plant field device for continuous control.

본 발명은 그 시스템 내의 확실한 단일지점의 결함으로 야기된 시스템 결함을 실질적으로 제거하기 위하여 디자인된다. 또한 본 발명은 공통의 단일 지점 요인으로부터 발생하는 부대 시스템이나 발전소 운전정지를 실질적으로 제거한다. 본 발명의 목적은 제어 시스템 내의 단일 지점의 결함이 실질적으로 제거되기 때문에 달성된다. 그 결과, 본 발명은 높은 시스템 이용 가능성을 제공해 주고, 단일 구성요소의 결함이 있는 경우에 역행하는 시스템의 동작으로부터 보호해준다. 만약 제 1 시스템이 제 기능을 발휘하지 못하면, 제 1 제어 시스템으로부터의 출력이 잘못된 출력 신호가 필드 장치로 통과하는 것을 예방하기 위하여 중단된다. 그러나 건강한 제 1 제어 시스템으로부터의 출력과 동일한, 제 2 제어 시스템으로부터의 출력은 필드 장치로 전송된다. 제 1 및 제 2 시스템이 모두 연속적으로 동작하기 때문에, 발전소 처리 과정에 영향을 주지 않는(transparent) 부드러운 방식으로 제어가 전달된다. 이러한 방식으로, 제어 업무는 제 1 유닛에서의 결함의 검출에 대하여 자동적으로 제 1 제어 처리기에서 제 2제어 처리기로 이전(transfer)된다.The present invention is designed to substantially eliminate system defects caused by certain single point defects in the system. The invention also substantially eliminates ancillary systems or plant outages resulting from a common single point factor. The object of the invention is achieved because a single point of defect in the control system is substantially eliminated. As a result, the present invention provides high system availability and protects against the operation of the system backing up in the event of a single component failure. If the first system fails to function, the output from the first control system is interrupted to prevent the wrong output signal from passing through the field device. However, the output from the second control system, which is the same as the output from the healthy first control system, is sent to the field device. Since both the first and second systems operate continuously, control is transferred in a smooth manner that does not affect the plant process. In this way, the control task is automatically transferred from the first control processor to the second control processor upon detection of a defect in the first unit.

본 발명의 특징과 독창적인 측면은 수반되는 상세한 설명, 청구 범위, 및 간단한 설명이 첨부되는 도면을 숙지함으로써 더 명백해지게 될 것이다.The features and inventive aspects of the present invention will become more apparent upon reading the accompanying drawings, the following detailed description, claims, and brief description.

도 1은 본 발명의 일반적인 결함에 견딜 수 있는 제어 시스템(a fault tolerant control system)의 아날로그 구성도.1 is an analog configuration diagram of a fault tolerant control system capable of withstanding the general faults of the present invention.

도 1a는 본 발명의 일반적인 결함에 견딜 수 있는 제어 시스템의 디지털 구성도.1A is a digital schematic diagram of a control system capable of withstanding the general deficiencies of the present invention.

도 2는 원자로 조절 시스템, 용수 공급 제어 시스템, 및 스팀 보조관 제어 시스템에 대한 자동 제어의 통합 시스템에서 본 발명의 결함에 견딜 수 있는 제어 시스템에 대한 아날로그 구성도.2 is an analog configuration diagram of a control system capable of withstanding the deficiencies of the present invention in an integrated system of automatic control for a reactor control system, a water supply control system, and a steam assist control system.

도 2a는 도 2의 결함에 견딜 수 있는 제어 시스템의 디지털 구성도.2A is a digital diagram of a control system capable of withstanding the deficiencies of FIG.

도 3은 아날로그 구성도에서 본 발명의 결함에 견딜 수 있는 제어 시스템의 전형적인 흐름도.3 is an exemplary flow diagram of a control system capable of withstanding the deficiencies of the present invention in an analog configuration diagram.

도 3a는 디지털 구성도에서 본 발명의 결함에 견딜 수 있는 제어 시스템의 전형적인 흐름도.3A is an exemplary flow diagram of a control system capable of withstanding the deficiencies of the present invention in a digital schematic diagram.

<도면 주요 부분에 대한 부호의 설명><Explanation of symbols for the main parts of the drawings>

10 : 제어 시스템 12,13 : 제 1 및 제 2 제어 시스템10: control system 12,13: first and second control system

22,82 : 조종 회로 25 : 필드 장치22,82: control circuit 25: field device

40,60 : 제 1 및 제 2 제어 시스템 46,66 : 프로세싱 기능40,60: first and second control system 46,66: processing function

48,68 : 출력 기능 50,70 : 건강 모니터링 기능48,68: output function 50,70: health monitoring function

80 : 필드 프로세스 90,92 : 선택 회로80: field process 90,92: selection circuit

본 발명에 따른 결함에 견딜 수 있는 제어 시스템은 도 1에 개략적으로 도시된다. 여기에 사용된 바와 같이, "결함에 견딜 수 있는(fault tolerant)"이라는 용어는 제어 시스템의 정상 동작이 그 제어 시스템 내의 임의의 확실한 단일 결함에 의해서는 영향을 받지 않는다는 것을 의미하는 것으로 이해하면 된다.A control system capable of withstanding the defects according to the invention is shown schematically in FIG. 1. As used herein, the term "fault tolerant" is understood to mean that the normal operation of the control system is not affected by any obvious single fault within the control system. .

도 1에서, 본 발명에 따른 제어 시스템(10)은 일반적으로 제 1 제어 시스템(12), 백업용 즉 제 2 제어 시스템(13)을 포함한다. 제 1 제어 시스템(12)과 제 2 제어 시스템(13)은 모두 공통 센서(14)로부터 발생하는 입력 데이터를 수신한다. 그러나, 센서(14)로부터의 입력 데이터는 별도의 제 1 및 제 2 아이솔레이터(15 및 16)를 각각 경유하여 통과된다. 아이솔레이터(15 및 16)은 센서(14)와 제어 시스템 사이의 과전압이나 피드백 상황을 방지하는 역할을 한다. 그후 아이솔레이터(15 및 16)로부터의 데이터는 데이터를 제어 시스템에 공급해주는 별도의 제 1 및 제 2 입력 모듈(도시되지 않음)로 통과된다. 입력 모듈로부터 제어 시스템(12 및 13)에 공급되는 정보는 발전소 기능 내의 센서에 의해 생성되거나 발전소 내의 다른 제어 시스템으로부터의 출력에 의해 생성될 수도 있다. 현존하는 발전소 디자인은 핵발전소 시스템 내에 전략적으로 배치된 여분의 센서를 사용하는데, 그 결과 하나의 센서가 그 기능을 발휘하지 못하는 경우에 제어 시스템은 정상적인 발전소 기능을 계속하기 위하여 여분의 센서로부터의 데이터를 사용할 수 있게 한다.In FIG. 1, the control system 10 according to the invention generally comprises a first control system 12, for backup purposes or a second control system 13. Both the first control system 12 and the second control system 13 receive input data from the common sensor 14. However, input data from the sensor 14 is passed via separate first and second isolators 15 and 16, respectively. Isolators 15 and 16 serve to prevent overvoltage or feedback situations between the sensor 14 and the control system. The data from the isolators 15 and 16 are then passed to separate first and second input modules (not shown) that supply the data to the control system. The information supplied from the input module to the control systems 12 and 13 may be generated by sensors in the plant function or by outputs from other control systems in the plant. Existing plant designs use redundant sensors strategically placed within the nuclear power plant system, so that in the event that one sensor fails to function, the control system will need to retrieve data from the redundant sensors to continue normal plant functions. To use.

동일한 방법으로, 본 발명은 제 1 제어 시스템(12)과 제 2 제어 시스템(13)의 형태로 여분의 프로세스 제어를 제공해준다. 두 시스템은 모두 동일한 입력 정보를 수신한다. 더욱이 제 1 시스템(12)과 제 2 시스템(13)은 모두 완전히 동일하다. 그 결과, 정상 동작 상태 하에서 제 1 출력(19)은 실질적으로 제 2 출력(20)과 동일하다. 출력(19 및 20)은 출력 아이솔레이터(17 및 18)를 경유하여 통과한다. 도 1에서 도시된 타입의 아날로그 제어 시스템의 구성도에서, 조종 회로(22)는 필드 장치나 다른 발전소 위치(25)로 출력 데이터(24)를 선택적으로 송신하기 위하여 제공된다.In the same way, the present invention provides redundant process control in the form of a first control system 12 and a second control system 13. Both systems receive the same input information. Moreover, both the first system 12 and the second system 13 are completely identical. As a result, under normal operating conditions the first output 19 is substantially the same as the second output 20. Outputs 19 and 20 pass through output isolators 17 and 18. In the schematic diagram of an analog control system of the type shown in FIG. 1, a steering circuit 22 is provided for selectively transmitting output data 24 to a field device or other power plant location 25.

도 1a에서 개략적으로 도시된, 디지털 결함에 견딜 수 있는 제어 시스템 구성도에서, 제 1 및 제 2 제어 시스템(12 및 13)은 실질적으로 병렬 관계로 동일한 출력을 모두 필드 장치(25)에 제공한다. 필드 장치(25)를 구동하는 출력이 제 1 제어 시스템(12)으로부터 왔는가 아니면 제 2 제어 시스템(13)으로부터 왔는가는 중요하지 않으며 도 1a에서 도시된 제어 시스템은 제 1 및 제 2 제어 시스템이 모두 결함(다수의 결함)을 받는 경우에만 그 기능을 발휘하지 못할 것이다. 제 1제어 시스템(12)이나 제 2제어 시스템(13) 중 어느 하나를 제거해도 필드 장치(25)의 기능에 영향을 주지 않는다.In the control system configuration diagram that can withstand digital defects, shown schematically in FIG. 1A, the first and second control systems 12 and 13 provide both field devices 25 with the same output in a substantially parallel relationship. . It does not matter whether the output driving the field device 25 is from the first control system 12 or from the second control system 13 and the control system shown in FIG. Only if it receives a defect (many defects) will it be functional. Removing either the first control system 12 or the second control system 13 does not affect the function of the field device 25.

제어 시스템(12 및 13)은 실질적으로 동일하기 때문에, 제 1 제어 시스템으로 하나와 제 2 제어 시스템으로 하나 중 초기의 선택은 자기 마음대로이다. 그러나, 일단 제 1제어 시스템으로 지정이 되는 경우에는 본 발명의 결함에 견딜 수 있는 제어 시스템은 상기 제 1 제어 시스템이 도 1에서와 같이 필드 장치를 우선적으로 제어하도록 구성된다. 이리하여, 도 1의 아날로그 구성도에서, 일단 제어 시스템(12)이 제 1제어 시스템으로 지정되면, 디폴트에 의해 조종 회로(22)는 제 1 제어 시스템(12)로부터의 출력 데이터(19)를 출력 데이터(24)로 통과시킨다. 제 1 제어 시스템(12)이 어쨋든 실패하는 경우에만, 제 2 출력(20)이 출력 데이터(24)로 통과하게 될 것이다. 도 1a의 디지털 구성도의 경우에는, 제 1 및 제 2 제어 시스템(12 및 13)으로부터의 출력이 실질적으로 동일하기 때문에 제 1제어 시스템은 필드 장치(25)를 구동하는 것으로 간주된다. 그러나, 이전에 지적된 바와 같이, 제 1 제어 시스템(12)이나 제 2 제어 시스템(13) 중 어느 하나의 결함은 필드 장치(25)에 영향을 주지 않는다.Since the control systems 12 and 13 are substantially identical, the initial choice of one as the first control system and one as the second control system is at will. However, once designated as the first control system, a control system capable of withstanding the deficiencies of the present invention is configured such that the first control system preferentially controls the field device as in FIG. Thus, in the analog configuration diagram of FIG. 1, once the control system 12 is designated as the first control system, by default the steering circuit 22 outputs the output data 19 from the first control system 12. Pass through the output data 24. Only if the first control system 12 fails anyway, the second output 20 will pass through to the output data 24. In the case of the digital schematic diagram of FIG. 1A, the first control system is considered to drive the field device 25 because the outputs from the first and second control systems 12 and 13 are substantially the same. However, as previously pointed out, a defect in either the first control system 12 or the second control system 13 does not affect the field device 25.

핵발전소 시스템에 대한 자동 제어 시스템의 통합 시스템은 도 2 및 도 2a에 모두 도시된다. 특히, 원자로 조절 시스템(26,RRS), 각 스팀 생성기를 위한 용수 공급 제어 시스템(28,30,FWCS) 및 스팀 보조관 제어 시스템(32,34,SBCS)을 위한 통합 제어 시스템이 도시된다. 모든 제어 시스템은 도 1을 참조하여 전술한 바와 같이 결함에 견딜 수 있는 시스템을 예시한다. 따라서, 도 2에 있는 각 시스템은 제 1 제어 시스템 및 온전히 기능적인, 완전히 여분의 제 2 제어 시스템을 포함한다. 도 2에서, 각 한쌍의 동일한 제어 시스템은 결함이 없는 제기능을 하는 제어 시스템으로부터 출력 데이터를 다른 발전소 위치(도시되지 않음)에까지 선택적으로 전송하기 위하여 조종 회로(22)를 더 포함한다. 도 2a에서, 각 한쌍의 동일한 제어 시스템은 제 1 및 제 2 제어 시스템으로부터의 출력을 다른 발전소 위치에까지 전송하도록 구성된다.An integrated system of automatic control systems for a nuclear power plant system is shown in both FIG. 2 and FIG. 2A. In particular, an integrated control system for the reactor control system 26, RRS, water supply control systems 28, 30, FWCS for each steam generator, and steam auxiliary control systems 32, 34, SBCS is shown. All control systems illustrate a system capable of withstanding defects as described above with reference to FIG. 1. Thus, each system in FIG. 2 includes a first control system and a fully functional, fully redundant second control system. In FIG. 2, each pair of identical control systems further includes a steering circuit 22 for selectively transferring output data from the fault-free, functioning control system to another power plant location (not shown). In FIG. 2A, each pair of identical control systems is configured to transmit outputs from the first and second control systems to other power plant locations.

본 발명의 제어 시스템의 아날로그 구성도의 온전한 결함에 견딜 수 있는 특성은 도 3을 참조로 하여 더 잘 설명 된다. 동일한 두 개의 제어 시스템(40,60)이 발전소 센서(X 및 Y)로부터 흐르는 정보를 처리하기 위하여, 또한 출력 데이터를 필드 처리(80)로 제공하기 위하여 병렬로 배치된다. 도 3에서, 제어 시스템(40)은 제 1제어 시스템으로 임의로 정의되는 반면, 제어 시스템(60)은 제 2 제어 시스템으로 정의된다. 다수의 여분의 센서(X 및 Y)는 제어 시스템(40, 60)에 정보를 제공하기 위하여 발전소 내에 위치된다. RRS, FWCS 및 SBCS를 제어하는 형태의 통합 제어 시스템은 원자로 시스템 내에 다수의 지점으로부터 데이터를 필요로 한다. 그러나, 도 3에서 모든 시스템 내부 센서는 센서(X 및 Y)로 지정된다.The characteristics that can withstand the intact defects of the analog schematic of the control system of the present invention are better explained with reference to FIG. The same two control systems 40, 60 are arranged in parallel to process the information flowing from the power plant sensors X and Y and also to provide the output data to the field processing 80. In FIG. 3, the control system 40 is arbitrarily defined as the first control system, while the control system 60 is defined as the second control system. A number of redundant sensors X and Y are located in the power plant to provide information to the control system 40, 60. Integrated control systems of the type that control RRS, FWCS and SBCS require data from multiple points within the reactor system. However, in Fig. 3 all system internal sensors are designated as sensors X and Y.

그후 센서(X 및 Y)로부터의 데이터는 동일하게 별도의 단일 아이솔레이터(도시되지 않음)를 경유하여 제 1 제어 시스템(40)과 제 2 제어 시스템(60)으로 전송되고, 입력 모듈(42 및 62)에 의해 수신된다. 입력 모듈(42,62)에 의해 수신된 데이터는 처리 기능(46, 66)에 의해 수신된다. 처리 기능(46,66)은 자동적으로 제어되는 발전소 시스템의 요구 조건에 따라 데이터에 대하여 동일한 미리 프로그래밍된 처리 단계를 수행한다. 입력 데이터에 기초하여, 처리 기능(46,66)은 별도의 출력 신호 아이솔레이터(도시되지 않음)를 통해 출력 기능(48,68)이 발전소 시스템의 제어를 유지하기 위하여 필드 장치에 전송되게 한다. 정상 상태 하에서, 출력 기능(48,68)은 실질적으로 동일한 데이터를 도 3에서 스위치로 지정된, 조종 회로(82)에 전송한다. 제 1 제어 시스템(40)이 적절히 기능을 하는 정상적인 작동 상황 하에서, 제 1 출력 기능(48)으로부터의 출력 데이터는 필드 처리(80)에 제공된다.The data from the sensors X and Y are then sent to the first control system 40 and the second control system 60 via the same single separate isolator (not shown) and input modules 42 and 62. Is received by. Data received by input modules 42 and 62 is received by processing functions 46 and 66. Processing functions 46 and 66 perform the same pre-programmed processing steps on the data according to the requirements of the automatically controlled power plant system. Based on the input data, processing functions 46 and 66 allow output functions 48 and 68 to be transmitted to field devices to maintain control of the power plant system through separate output signal isolators (not shown). Under normal conditions, output functions 48 and 68 send substantially the same data to steering circuit 82, designated as the switch in FIG. Under normal operating conditions in which the first control system 40 functions properly, the output data from the first output function 48 is provided to the field processing 80.

제 1제어 시스템(40)과 제 2 제어 시스템(60) 모두에서, 건강 모니터링 기능(50, 70)에 의해 각 하부 시스템은 각각 결함 신호에 대해 모니터링된다. 건강 모니터링 기능(50,70) 중 어느 한쪽으로부터 이상 기능이 검출될 때에는, 진단 정보가 제어 시스템 모니터에 제공된다. 건강 모니터링 기능(50,70)이 제 1 제어 시스템(40)의 성공적인 동작에 영향을 끼치는 어떤 하부 구성요소로부터의 이상 기능 신호를 수신한다면, 건강 모니터링 기능(50,70)은 제 1 시스템(40)으로부터의 출력 흐름을 제 2 시스템(60)으로 스위칭하기 위하여 스티어링 스위치(82)에 신호를 제공한다. 건강 모니터링 기능은 또한 경고 기능, 건강 상태의 지시 기능, 및 결함 검출을 포함하는 각각의 제어 시스템에 관한 진단 정보를 제공하여, 시스템 유지보수를 향상시키고 이러한 제어 시스템을 수리하는데 드는 평균 시간(MTTR : Mean Time To Repair)을 개선시키게 한다. 공지된 수동 스위칭 기능(86)은 또한 필요에 따라 제어 시스템의 수동 변경(manual override)을 허용해주고, 발전소 시스템의 수동적인 활동을 허락하여, 유지보수가 정상 발전 동작을 중단함이 없이 제 1 및 제 2 시스템 중 어느 것으로도 수행되게 해준다. 이러한 방법으로, 프로그래밍의 변화나 다른 제어 처리의 변화는 시스템이나 발전소의 운전이 정지 시간이 없이 실시될 수 있다. 도 3에서 도시된 바와 같이, 결함에 견딜 수 있는 제어 시스템의 설계는 제어 시스템의 정상 동작이 그 제어 시스템 없이 확실한 단일 구성요소의 결함으로 영향을 받지 않는다는 것을 보장해준다.In both the first control system 40 and the second control system 60, each subsystem is monitored for fault signals by the health monitoring functions 50, 70, respectively. When an abnormal function is detected from either of the health monitoring functions 50 and 70, diagnostic information is provided to the control system monitor. If the health monitoring function 50, 70 receives an abnormal function signal from any subcomponent that affects the successful operation of the first control system 40, the health monitoring function 50, 70 receives the first system 40. Provide a signal to the steering switch 82 to switch the output flow from the back to the second system (60). The health monitoring function also provides diagnostic information about each control system, including warnings, indications of health conditions, and fault detection, to improve system maintenance and repair the control system. Mean Time To Repair). The known manual switching function 86 also permits manual override of the control system as needed and permits manual activity of the power plant system, so that maintenance does not interrupt the normal power generation operation. Allows any of the second systems to be performed. In this way, changes in programming or other control processing can be implemented without system downtime. As shown in FIG. 3, the design of a control system capable of withstanding defects ensures that the normal operation of the control system is not affected by the defect of a single component without the control system.

동작 중에, 제 1 제어 시스템(40)과 제 2 제어 시스템(60)은 모두 병렬 관계이고 실시간으로 동작한다. 그러므로 정상 동작 상태 하에서와 및 시스템의 이상 기능의 부재시에, 출력(48 및 68)은 실질적으로 동일하다. 그 결과 제 1 시스템(40)으로부터의 이상 기능 신호의 수신에 대한 제 1 시스템(40)에서부터 제 2시스템(60)으로의 스위칭은 실질적으로 필드 처리(80)에 영향을 주지 않을 것이다.In operation, both the first control system 40 and the second control system 60 are in parallel and operate in real time. Therefore, under normal operating conditions and in the absence of an abnormal function of the system, the outputs 48 and 68 are substantially the same. As a result, switching from the first system 40 to the second system 60 on receipt of the abnormal function signal from the first system 40 will not substantially affect the field processing 80.

도 3A에서 도시된, 제어 시스템 디지털 구성도의 흐름도는 도 3의 제어 시스템 아날로그 구성도의 흐름도와 구성면에서 유사하다. 그러나, 디지털 구성은 조종 회로(82)를 포함하지 않는다. 오히려, 도 3a의 제 1 및 제 2 제어 시스템은 모두 선택 회로(90 및 92)를 각각 부가적으로 포함한다. 정상 동작 동안, 실질적으로 동일한 출력(94,96)은 필드 장치(80)에 연속적으로 제공되고 제 1 및 제 2 제어 시스템 모두와 병렬 관계이다. 만약 제 1 제어 시스템(40) 내의 건강 모니터링 회로(50)가 제 1 제어 시스템 내의 결함을 검출한다면, 선택 회로(90)는 출력(94)이 출력(96)에 영향을 주지 않고 중단되게 해준다. 출력(94)의 중단은 출력(96)이 유지되기 때문에 필드 장치(80)에 완전히 영향을 주지 않는다. 바람직한 실시예에서, 제 1 제어 시스템으로부터의 출력(94) 만이 중단될 수 있다. 그러나, 제어 시스템 중 하나에 있는 결함이 검출되는 경우에 제 1출력(94)이나 제 2 출력(96) 중 어느 하나의 중단을 허용하면서 제 1 및 제 2 제어 시스템(40 및 60)이 정확히 동일하도록 하는 결함에 견딜 수 있는 제어 시스템을 설계 하는 것이 가능하다.The flowchart of the control system digital schematic diagram shown in FIG. 3A is similar in configuration to the flowchart of the control system analog schematic diagram of FIG. 3. However, the digital configuration does not include the steering circuit 82. Rather, both the first and second control systems of FIG. 3A additionally include selection circuits 90 and 92, respectively. During normal operation, substantially the same outputs 94 and 96 are provided continuously to the field device 80 and in parallel with both the first and second control systems. If the health monitoring circuit 50 in the first control system 40 detects a defect in the first control system, the selection circuit 90 causes the output 94 to stop without affecting the output 96. Interruption of the output 94 does not completely affect the field device 80 because the output 96 is maintained. In a preferred embodiment, only the output 94 from the first control system can be stopped. However, when a fault in one of the control systems is detected, the first and second control systems 40 and 60 are exactly the same while allowing the interruption of either the first output 94 or the second output 96. It is possible to design a control system that can withstand faults.

본 발명의 결함에 견딜 수 있는 제어 시스템은 공통 요인으로 발생하는 확실한 단일 지점 시스템의 결함을 제거한다. 사실, 시스템 내의 단일 지점 결함은 실질적으로 제거된다. 제어 시스템 설계는 하부 시스템의 각각이 여분의 제어 시스템 내의 단일지점 결함을 제거하게 하는 여분의 처리기, 입력/출력과 통신 수단을 사용한다. 제어 업무는 제 1 유닛에 결함이 검출되는 경우에 제 1 제어 처리기 유닛에서 제 2제어처리기 유닛으로 자동적으로 이전된다. 온라인 처리에 영향을 주지 않는, 연속된 방법(a seamless manner)으로 제어는 백업 유닛에 이전된다. 그 결과, 발전소 운영에 악영향을 끼치는 개별 구성 요소의 결함에 대한 가능성은 이러한 제어 시스템에 대한 결함(MTBF) 사이의 개선된 평균 시간으로 인하여 최소화되고 정량화된다. 그러므로 복잡한 과도 현상은 제어 시스템의 결함으로 인하여 일어나는 가능성은 훨씬 줄어들고, 전체 발전소의 성능은 더 높은 시스템의 이용 가능성으로 인하여 증가된다.A control system capable of withstanding the deficiencies of the present invention eliminates the deficiencies of certain single point systems that occur in common. In fact, single point defects in the system are substantially eliminated. The control system design uses redundant processors, input / output and communication means that each of the subsystems eliminates single point faults in the redundant control system. The control task is automatically transferred from the first control processor unit to the second control processor unit when a defect is detected in the first unit. Control is transferred to the backup unit in a seamless manner that does not affect the online processing. As a result, the likelihood of faulty individual components adversely affecting plant operation is minimized and quantified due to improved average time between faults for these control systems (MTBF). Thus, complex transients are much less likely to occur due to faulty control systems, and overall plant performance is increased due to higher system availability.

본 발명의 바람직한 실시예가 개시되었다. 그러나, 당업자는 본 발명의 설명 내에서 일어날 수 있는 확실한 변경 및 다른 형태를 알 수 있을 것이다. 그러므로 다음 청구 범위는 본 발명의 범주와 내용을 결정하는데 검토되어야 한다.Preferred embodiments of the invention have been disclosed. However, those skilled in the art will recognize certain modifications and other forms that can occur within the description of the invention. Therefore, the following claims should be considered to determine the scope and content of the present invention.

Claims (16)

필드 장치(field device)를 제어하는 결함에 견딜 수 있는 제어 시스템(a fault tolerant control system)에 있어서,In a fault tolerant control system, which is able to withstand faults controlling a field device, 실질적으로 동일한 입력 기능, 실질적으로 동일한 출력 기능 및 실질적으로 동일한 처리 기능을 포함하는 실질적으로 동일한 제 1 및 제 2 제어 시스템으로서, 상기 제 1 제어 시스템은 상기 제 1 기능의 각각에 대하여 건강 모니터(health monitor)를 더 포함하는, 상기 제 1 및 제 2 제어 시스템과,1. A substantially identical first and second control system comprising substantially the same input function, substantially the same output function and substantially the same processing function, wherein the first control system provides a health monitor for each of the first functions. a first control system and a second control system; 상기 필드 장치의 제어를 상기 제 1 제어 시스템에서부터 상기 제 2 제어 시스템으로 이전(transfer)하는 수단을 포함하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.Means for transferring control of the field device from the first control system to the second control system. 제 1항에 있어서, 상기 제 1 및 제 2 제어 시스템은 아날로그 출력을 제공하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.The control system of claim 1, wherein said first and second control systems provide an analog output. 제 2항에 있어서, 상기 제어 이전 수단은 상기 제어 시스템으로 제어되는 상기 출력 기능과 상기 필드 장치 사이에 삽입되는 스위치를 포함하여, 상기 건강 모니터가 상기 제 1 제어 시스템이 이상 기능 중임을 나타낼 때에만 상기 스위치가 상기 제 2 제어 시스템 출력 기능을 상기 필드 장치에 연결하도록 하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.3. A control system according to claim 2, wherein said control transfer means comprises a switch inserted between said output function and said field device controlled by said control system, so that only when said health monitor indicates that said first control system is malfunctioning. And to cause the switch to couple the second control system output function to the field device. 제 2항에 있어서, 상기 제 2 제어 시스템은 상기 제 2 기능의 각각으로부터오는 제 2 건강 신호(health signal)를 포함하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.3. A control system as claimed in claim 2, wherein said second control system comprises a second health signal from each of said second functions. 제 4항에 있어서, 상기 제 1 및 제 2 건강 신호는 연속적으로 모니터링되는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.5. The control system of claim 4, wherein the first and second health signals are continuously monitored. 제 5항에 있어서, 상기 스위치에는 상기 제 1 및 제 2 제어 시스템으로부터 상기 동작 제어 시스템의 수동적인 이전을 선택적으로 허용 하는 수동 스위칭 기능이 제공되는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.6. The control system of claim 5 wherein the switch is provided with a manual switching function to selectively allow manual transfer of the motion control system from the first and second control systems. 제 6항에 있어서, 상기 제 1 및 제 2 제어 시스템은 실시간 데이터 추출을 제공하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.7. The control system of claim 6, wherein the first and second control systems provide real time data extraction. 제 1항에 있어서, 상기 제 1 및 제 2 제어 시스템은 실시간 데이터 추출을 제공하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.The control system of claim 1, wherein said first and second control systems provide real-time data extraction. 제 1항에 있어서, 상기 스위치에는 상기 제 1 및 제 2 제어 시스템으로부터 상기 동작 제어 시스템의 수동적인 이전을 선택적으로 허용 하는 수동적인 스위칭 기능이 제공되는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.2. The control system of claim 1 wherein the switch is provided with a passive switching function to selectively allow manual transfer of the motion control system from the first and second control systems. 제 1항에 있어서, 상기 제 1 및 제 2 제어 시스템 모두는 상기 필드 장치와 병렬인 실질적으로 동일한 디지털 출력을 제공하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.2. The control system of claim 1 wherein both the first and second control systems provide substantially the same digital output in parallel with the field device. 제 10항에 있어서, 상기 제어 이전 수단은 상기 제어 시스템에 의해 제어되는 상기 디지털 출력과 상기 필드 장치 사이에 삽입되는 선택 회로를 포함하여, 상기 건강 모니터가 상기 제 1 제어 시스템이 이상 기능중인 것을 나타낼 때에만 상기 선택 회로가 상기 제 1 디지털 출력을 중단하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.11. The apparatus of claim 10, wherein said control transfer means comprises a selection circuit inserted between said digital output controlled by said control system and said field device, such that said health monitor indicates that said first control system is malfunctioning. Only when the selection circuitry stops the first digital output. 제 11항에 있어서, 상기 제 2 제어 시스템은 상기 제 2 기능의 각각으로부터 제 2 건강 신호를 포함하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.12. The control system of claim 11, wherein said second control system includes a second health signal from each of said second functions. 제 12항에 있어서, 상기 제 2 제어 시스템은 상기 제어 시스템에 의해 제어되는 상기 제 2 디지털 출력과 상기 필드 장치 사이에 삽입되는 선택 회로를 포함하여, 상기 건강 모니터가 상기 제 2 제어 시스템이 이상 기능을 나타낼 때에만 상기 선택 회로가 상기 제 2 디지털 출력을 중단하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.13. The second control system of claim 12, wherein the second control system comprises a selection circuit inserted between the second digital output and the field device controlled by the control system, such that the health monitor has an abnormal function of the second control system. And the selection circuitry stops the second digital output only when indicating. 제 13항에 있어서, 상기 제 1 및 제 2 건강 신호는 연속적으로 모니터링 되는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.The control system of claim 13, wherein the first and second health signals are continuously monitored. 제 13항에 있어서, 상기 디지털 출력에는 상기 제 1 및 상기 제 2 제어 시스템으로부터 상기 제어 시스템의 이전을 선택적으로 허여 하는 수동적인 스위칭 기능이 제공되는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.14. The control system of claim 13 wherein the digital output is provided with a passive switching function to selectively allow the transfer of the control system from the first and second control systems. 제 15항에 있어서, 상기 제 1 및 제 2 제어 시스템은 실시간 데이터 추출을 제공하는 것을 특징으로 하는 결함에 견딜 수 있는 제어 시스템.16. The control system of claim 15, wherein the first and second control systems provide real time data extraction.
KR1019990011860A 1998-04-17 1999-04-06 Fault tolerant control system KR19990082957A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US6178898A 1998-04-17 1998-04-17
US9/061,788 1998-04-17

Publications (1)

Publication Number Publication Date
KR19990082957A true KR19990082957A (en) 1999-11-25

Family

ID=22038141

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1019990011860A KR19990082957A (en) 1998-04-17 1999-04-06 Fault tolerant control system

Country Status (2)

Country Link
KR (1) KR19990082957A (en)
CN (1) CN1175428C (en)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101783192B (en) * 2009-10-23 2012-07-18 中广核工程有限公司 Common control net for nuclear power station
EP2691820B1 (en) * 2011-03-30 2020-08-05 Vestas Wind Systems A/S Wind power plant with highly reliable real-time power control
CN102707716B (en) * 2012-06-28 2014-07-23 南京理工大学常熟研究院有限公司 Generalized fault-tolerance control method for sensor
CN103235568B (en) * 2013-04-03 2016-05-11 电子科技大学 A kind of nuclear power plant equipment condition monitoring wireless detection device

Also Published As

Publication number Publication date
CN1233061A (en) 1999-10-27
CN1175428C (en) 2004-11-10

Similar Documents

Publication Publication Date Title
US4667284A (en) Multiplexing control unit
US5560033A (en) System for providing automatic power control for highly available n+k processors
EP0329774A1 (en) Fault-tolerant output circuit
US20070128895A1 (en) Redundant automation system for controlling a techinical device, and method for operating such an automation system
JPH07334382A (en) Multicontroller system
KR19990082957A (en) Fault tolerant control system
US7890817B2 (en) Protective system for an installation and a method for checking a protective system
KR100380658B1 (en) Out put device using serial communication of triple type control device and control method thereof
JP5319499B2 (en) Multiplexing controller
JPS625402A (en) Plant controller
JP2937595B2 (en) Power system monitoring and control device
JP4348485B2 (en) Process control device
JP2991547B2 (en) Mutual abnormality diagnosis processing method of multiplex system controller and multiplex system controller
JP2010182251A (en) Motor control device
JPH03266131A (en) Power source state decision system for multiple system
JP3843388B2 (en) Process control device
JPH08106301A (en) Plant process control system
KR20240037075A (en) Method and apparatus for providing distributed control in reactor system
CN114114998A (en) Redundancy control system and method
JPH0440721B2 (en)
JPH05346864A (en) Fault processing system for information processor
JPH10222203A (en) Digital controller
JPS617901A (en) Digital control device
JPS63167901A (en) Decentralized hierarchical control system
Popovich A. Systems with Repair

Legal Events

Date Code Title Description
A201 Request for examination
N231 Notification of change of applicant
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
NORF Unpaid initial registration fee